Datenübermittlung im Konzern

Wer kennt es nicht: Daten werden über E-Mails und verschiedene Tools täglich mit unterschiedlichen Abteilungen geteilt, darunter auch sensible Daten. Doch was muss in Zeiten der DSGVO beachtet werden, um keine hohen Bußgelder zu riskieren?

Die DSGVO kennt kein generelles Konzernprivileg. Verbundene Unternehmen innerhalb eines Konzernverbunds werden genauso behandelt wie völlig eigenständige Unternehmen. Dies kommt beispielsweise bei der Übermittlung personenbezogener Daten zwischen zwei Unternehmen der gleichen Unternehmensgruppe oder bei der Nutzung sogenannter „Shared Services“ zum Tragen. Letzteres ist der Fall, wenn eine Gesellschaft im Konzernverbund Leistungen für andere, verbundene Unternehmen erbringt, beispielsweise im Personalbereich.

Deshalb ist die Übermittlung oder der Austausch personenbezogener Daten innerhalb eines Konzernverbunds nicht ohne weiteres zulässig und bedarf einer entsprechenden Rechtsgrundlage. Dies kann der Fall sein, wenn die Übermittlung zur Erfüllung eines Vertrags notwendig ist, eine Einwilligung zur Datenübermittlung des Betroffenen vorliegt oder wenn das Unternehmen nach einer Abwägung ein berechtigtes Interesse an der Übermittlung hat.

Keine Zeit zu lesen? Hier mehr Informationen anfordern

Über DataGuard:

DataGuard ist ein Datenschutz- und Legal-Technology-Unternehmen mit Hauptsitz in München. Wir helfen Unternehmen dabei, ihren Datenschutz pragmatisch umzusetzen. Über 100 Mitarbeiter beschäftigen sich leidenschaftlich mit Datenschutz, Compliance und IT-Sicherheit und unterstützen Sie dabei, Ihre Prozesse effizient und möglichst unkompliziert DSGVO-konform zu gestalten. Deutlich über 1.000 Geschäftskunden vertrauen unserer „Privacy-as-a-Service“ Lösung – einem Hybrid aus individueller Kundenberatung und Nutzung unserer eigens entwickelten Software-as-a-Service-Plattform.

Der Begriff des Konzerns und das „kleine Konzernprivileg“

Der Begriff des Konzerns bzw. der Gruppe von zusammengehörigen Unternehmen wird in Art. 4 Nr. 19 DSGVO als ein Verbund aus einem herrschenden Unternehmen sowie weiterer abhängiger Unternehmen definiert. Erwägungsgrund 48 erkennt „interne Verwaltungszwecke“ als ein berechtigtes Interesse an, um innerhalb einer Unternehmensgruppe personenbezogene Daten zu übermitteln. Dies wird auch als „kleines Konzernprivileg“ bezeichnet. Werden personenbezogene Daten zwischen Unternehmen des Konzerns im Auftrag und zur weisungsgebundenen Verarbeitung übertragen, so ist auch dabei ein Auftragsverarbeitungsvertrag (AVV) notwendig.

Allerdings räumt Erwägungsgrund 48 ein sogenanntes „kleines Konzernprivileg“ ein. Er stellt klar, dass gerade Unternehmensgruppen ein berechtigtes Interesse daran haben können, personenbezogene Daten innerhalb der Gesellschaften eines Konzerns oder einer Unternehmensgruppe zu übermitteln. Dies gilt für Daten von Mitarbeitern, Kunden und Lieferanten, also für alle drei Kategorien personenbezogener Daten. Der Begriff des „berechtigten Interesses“ stellt eine Auffangklausel dar, wenn keine der anderen Rechtsgrundlagen einschlägig ist. Es sollte das Ergebnis einer Interessenabwägung sein zwischen den Interessen des Verantwortlichen und der Betroffenen, dessen personenbezogene Daten übermittelt werden. Generell ist der Begriff jedoch weit auszulegen und wenn bereits ein Rechtsverhältnis zwischen den Parteien besteht, kann ein berechtigtes Interesse gegeben sein.

Betriebsvereinbarung, gemeinsame Verantwortlichkeit und Datenschutzrichtlinie

Eine weitere Möglichkeit, die Datenübermittlung in einem Konzern zu regeln, stellen Betriebsvereinbarungen dar. Hierzu ist die Öffnungsklausel des Art. 82 DSGVO einschlägig, die es zusammen mit dem passenden Erwägungsgrund ermöglicht, eine Kollektivvereinbarung zu schaffen, die unter Berücksichtigung des Schutzes der personenbezogenen Daten der Beschäftigten die Datenübermittlung im Konzern regelt.

Auch eine konzerninterne Vereinbarung zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO ist denkbar. In der wird klar geregelt, welche Gesellschaft für welche datenschutzrechtlichen Aspekte bei der Datenübermittlung über Unternehmensgrenzen hinweg letztendlich verantwortlich ist. Außerdem legt sie fest, wer über die Mittel und Zwecke der Verarbeitung der betroffenen personenbezogenen Daten entscheidet.

Als letzte Möglichkeit ist auch eine gemeinsame Datenschutzrichtlinie denkbar. Diese regelt innerhalb der Unternehmensgruppe oder des Konzerns wie die Datenübermittlung zu erfolgen hat und welche Anforderungen damit erfüllt werden müssen.

Was bedeutet das für die Datenübermittlung im Konzern?

Zusammenfassend lässt sich festhalten, dass die Datenübermittlung zwischen verschiedenen Gesellschaften innerhalb eines Konzernverbunds durch die DSGVO ähnlichen Anforderungen unterliegt wie bei unverbunden Unternehmen. Jedoch gibt es einige Möglichkeiten, diese Übermittlung adäquat, pragmatisch und effizient zu gestalten.

Sie wollen sich vor hohen Bußgeldern schützen? Jetzt Expertengespräch vereinbaren

Über den Autor

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren